提升台湾制造业资安防护力

（图／路透）

为提升其整体供应链资安防护强度，台积电不仅加强公司内部资安防护机制及管理制度，并主动订定「供应商资安评鉴标准」，于2021年先要求供应厂商以问卷形式检视12类潜在资安风险与弱点，执行自我资安评鉴；到2022年2月更进一步要求供应商作第三方资安评鉴。根据这两类评鉴结果，台积电协助供应商拟定资安改善计划并定期追踪其执行成效。截至2022年11月底，在639家供应商中有418家获得最优级，而277家于6个月内提升了1到2个资安等级。

由于台积电在短短几年内于供应链安全达成如此令人印象深刻的结果，国际半导体产业协会（SEMI）遂参考台积电的「供应商资安评鉴标准」及台湾半导体各大厂资安部门的专家经验，订定出「资安风险评估通用问卷」，再搭配第三方资安风险评分工具，而成为半导体厂商量身打造的资安风险评级服务，并于今年12月5日宣布正式上线。

据工业局统计，台湾制造业者只有约0.2%每年资安设备预算超过台币300万且拥有完整自主资安团队，约5%制造业者年资安设备预算超过300万元但不具有完整资安团队，其余95%制造业者则资安设备预算与人才配置皆偏低。其中，电子资讯业和金属机电业公司2020年的平均年资安设备预算都低于100万元，但相同统计数据在金融业与医疗业则分别达2200万和800万。

绝大部分制造业公司的领导阶层对资安的重要性在观念上都已相当认同，但在作实际资安建设投资决定时，则每每眼高手低、言胜于行。此中最根本的原因是资安建置案的投资回报往往无法具体量化。由于投资回报不明确，这样的提案在公司施政排序自然后移，终致不了了之。

因此，欲增加企业资安建设的投资，必以强化资安建设与公司总体经营目标的联结为先。举例而言，2018年公告的《资通安全管理法》将全国公私立机关分成A、B、C、D、E5个资通安全责任等级。因为公私立医学中心、银行和金融服务公司都属A级关键基础设施，资安防护要求最严格。因为符合资安法规定乃经营的重点目标，这些单位的资安建设投资在近年来皆大幅成长。

然而，制造业并不在资安法规范的范围，所以没有大力投入资安建设的诱因。所幸，2020年以来的中美贸易大战所掀起的供应链安全议题，为台湾制造业的资安化提供一道解套的曙光。

虽然台积电在评量供应商资安防卫能力时，并没有强迫供应商必须要达到特定的资安评鉴水准，但的确开诚布公向厂商表达资安评鉴分数将成为选择供应商时重要的考量因素。易言之，强化内部资安不再只为保护智慧财产或维持公司资讯系统的正常运作，而是一跃成为加强整体产品竞争力策略的一环。对台积电供应商的老板而言，为达到一定资安评鉴水准所需的资安建设，乃赢得台积电青睐必作之事，其投资回报不但明确，甚至颇具急迫性，所以落实的机率大为提高。

半导体制造业在自动化和智慧化的程度远远超过其他制造产业，而台积电乃半导体制造业中领袖群伦的翘楚。如今，台积电成功地示范了一套可有效提升其供应链成员实质资安韧性的评鉴与改善机制，而SEMI也见贤思齐将相关资安稽核项目及方案整理成标准作业程序。政府应将SEMI的资安风险评级服务介绍推广至国内各大制造公协会，以作为加强其相关产业供应链安全的参考。经由类此供应链上下游资安联防的驱动与鞭策，台湾制造业者不但能借此契机将自身资安防护能力脱胎换骨，更能进而一举提升产品的整体竞争力。

（作者为清大资工系合聘教授）